Sale histoire de phishing

Une victime d’un phishing de 2015 a demandé à sa banque de lui rembourser la somme de 3 300€ détournée par l’auteur de la fraude. Pourtant, lors de la procédure judiciaire, la Justice a annulé le jugement de la juridiction de proximité d’octobre 2017, qui avait alors ordonné à la banque de la victime de rembourser les sommes correspondantes à l’opération de phishing. Le motif de cette annulation ? La victime a délibérément communiqué certaines de ses données confidentielles relatives à sa carte... Lire la suite

L’attaque par phishing, de plus en plus sophistiquée

Dernièrement, certains utilisateurs d’Amazon ont été victimes d’un phishing assez sophistiqué. Ils ont reçu un faux e-mail d’Amazon les prévenant qu’une personne avait essayé de se connecter à leur compte en essayant de changer leur mot de passe. Un code à six chiffres a été transmis, avec la consigne d’appeler un numéro pour vérifier l’identité de l’utilisateur.  Si les internautes n’étaient pas à l’origine de cette action, ils étaient invités à suivre une procédure bien spécifique pour sécuri... Lire la suite

Les suites de l’affaire Equifax ou comment les contrôles mis en place dans le cadre d’un SMSI (ISO 27001) peuvent aider à éviter des incidents de sécurité ?

  Avant-hier (3 octobre 2017), l’ex CEO d’Equifax, Rick Smith, a dû expliquer devant le Congrès américain comment les données privées de presque un américain sur deux ont pu être piratées. Rappelons brièvement la chronologie des faits (pour plus d’informations, nous vous invitons à lire l’article complet d’Adriana Lecerf) : 09 mars 2017: une faille Apache Struts est détectée. Moins d’une semaine après, le patch de sécurité est validé et planifié, mais ce dernier n’... Lire la suite

Le CAA devient obligatoire dans le petit monde du SSL

Ou comment en profiter pour mettre en place une stratégie de certification propre à votre société ? En Janvier 2013, un nouveau type de Resource Record DNS a vu le jour pour améliorer la chaîne de contrôle dans l’émission des certificats SSL. Ce record appelé CAA pour Certificate Authority Authorization permet de préciser pour un nom de domaine donné, quelles sont les Autorités de Certification autorisées à émettre des certificats. C’est une création extrêmement intéressante, particulièrement p... Lire la suite

Equifax victime d’une cyberattaque massive

La société américaine Equifax, basée à Atlanta, présente dans 24 pays, a été la proie d’une attaque particulièrement préoccupante. Equifax récolte et analyse les données personnelles de clients sollicitant un crédit. Début septembre, la société a révélé une intrusion dans ses bases de données. Ce piratage informatique pourrait concerner potentiellement environ 143 millions de clients américains, ainsi que d’autres clients au Canada et au Royaume-Uni. Les criminels ont exploité une faille ... Lire la suite

Les 3 attaques DNS les plus communes et comment les combattre

En octobre 2016 de nombreux sites Web populaires tels qu’Amazon, Twitter, Netflix et Spotify sont devenus inaccessibles à des millions d’internautes aux Etats-Unis pendant près de 10 heures, autant dire une éternité. En cause, une des plus grosses attaques de l’histoire d’Internet sur les services DNS de Dyn, un acteur majeur dans ce secteur d’activité. D’autres sociétés telles que Google, The New York Times et de nombreuses banques ont également été victimes de différentes variétés d&rsq... Lire la suite

Du mouvement dans le monde du SSL : Digicert rachète l’activité certificats de Symantec

Digicert a annoncé, mercredi 2 août, le rachat de la branche Website Security Business de Symantec (incluant notamment le business SSL, et quelques autres services). C’est la conséquence directe du conflit qui oppose depuis quelques mois Symantec à Google.     Vous avez certainement entendu parler de ce différend qui oppose les deux sociétés sur un certain nombre de certificats émis par Symantec et la possible perte de confiance envers ces certificats dans les prochaines versions de ... Lire la suite

Nameshield : premier registrar français certifié ISO 27001 sur l’ensemble de son activité registrar

    Fruit de plusieurs mois de travail, Nameshield est fier de vous annoncer sa certification ISO 27001 sur toute son activité registrar. Pourquoi la certification 27001 ? Depuis sa création il y a 23 ans, Nameshield a toujours eu à cœur de fournir à ses clients les meilleures prestations dans des conditions de sécurité optimale. En choisissant la norme ISO 27001, ce soin constant apporté à l’ensemble de nos services est désormais certifié par une autorité compétente. La hausse vertig... Lire la suite

Tout comprendre sur le Registry lock

Tous se souviennent de l’attaque dont avait été victime le New York Times en 2013. Un groupe de hackers agissant au nom de la SEA, l’Armée Electronique Syrienne (Syrian Electronic Army) avait eu accès aux codes de leur registrar Melbourne IT et ainsi pu modifier les informations DNS de nytimes.com. Le trafic du site a alors été redirigé vers un serveur contrôlé par les pirates. Cette même attaque n’avait pourtant pas eu d’impact sur Twitter.com, géré par le même registrar mais verrouillé par un... Lire la suite

DNS – le grand oublié de l’Internet

« Le DNS continue à être l’un des services Internet les plus ciblés, et reste le talon d’Achille de l’infrastructure Internet mondiale. Non seulement le DNS a été le protocole le plus utilisé cette année pour les attaques DDoS par réflexion/amplification, mais on peut aussi noter qu’une seule attaque ciblant un fournisseur de DNS spécifique, a été la cause d’une des interruptions de trafic les plus importantes de 2016 . » Arbor Network Infrastructure Security Report... Lire la suite